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(57) Vorgesteilt wird ein Verfahren und ein System zur Erhd- 
hung der Datenintegritat auf Chipkarten. ErfindungsgernaB 
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den Daten sichergestellt wird. Bei dem Schreibvorgang kann 
es sich um das Schreiben von Daten in eine Oder mehrere 
Dateien handeln. Vorzugsweise werden die Daten einer 
Integritatseinheit, d. h. eine Einheit von Daten, fur die die 
Integritat sichergestellt werden soil, in einen Schattenspei- 
cher geschrieben. 

Das erfindungsgemaBe Verfahren vernngert die Wahr- 
scheinlichkeit erheblich, daB durch einen Fehler beim 
Schreiben von Daten auf die Chipkarte die Integritat der 
Daten gestort wird. Daten konnen uber die Grenzen von 
Schreib-Lesegeraten wiederhergestelit oder kornplettiert 
werden. Das erfindungsgemafie Verfahren kann als Basis 
dazu dienen, Datenbestande au&erhalb der Chipkarte konsi- 
mm stent mit den Daten auf der Chipkarte zu haiten. 
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Gebiet der Erfindung 

5 

Die Erfindung betrifft die Datenintegritat bei Anwendungen mit Datentragerkarten. 

Stand der Technik 

10 Gesicherte Datentragerkarten oder Chipkarten (Smart Cards) finden heutzutage Anwendung in einer Reihe 
unterschiedlicher Funktionen und werden mit steigenden Stuckzahlen verbreitet Zum Teil werden auf den 
Chipkarten Daten von betrachtlichem Wert dargestellt, wie Zahlungsmittel, Zahlungsmittelrahmen oder person- 
hche (z. B. medizimsche) Daten. Das Konzept der gesicherten Chipkarte als verteilter persdnlicher Datenspei- 
cher und zum TeU auch datenschutzrechdiche Griinde verhindera und erschweren eine Dateraicherung. Aus 
15 diesen Grunden muB an die Integritat der Daten auf der Chipkarte hochste Anspruche gestellt werden. Bei den 
zu erwartenden hohen Stuckzahlen in der Verbreitung von Chipkarten fuhren selbst niedrige Fehlerraten zu 
betrachtlichen Mengen an Fehlern. 

Unter der Integritat von Daten versteht man die Fehlerfreiheit der Daten in dem Sinne, daB sie die ihnen 
zugrunde gelegten Informationen als richtiges Abbild der Realitat beinhalten und damit fur eine sinnvolle 
20 Datenverarbeitung verwendet werden konnen. Entsprechend bedeutet eine Konsistenz der Daten die Oberein- 
stunmung der Daten mit der Realitat, die sie reprasentierten. Dazu ist sowohl eine formale (physische Beschaf- 
fenheit) als auch eine inhaltliche (semantische, funktionelle) Voraussetzung zu erfuUen. 

Die Integritat der Daten auf der Chipkarte ist gerahrdet insbesondere durch physikalische Einflusse sowohl 
auf die Chipkarte als solches als auch wahrend eines Schreibvorgangs. 
25 Die meisten verwendeten Chipkarten implementieren den ISO-Standard 7816-X oder deren analoge nationa- 
len Standards. Daten auf der Chipkarte sind demgemaB in Dateien organisiert Teile einer Datei kdnnen als 
Datensatz oder als beliebige Zeichenfolge mit Schreibkommandos geschrieben werden. Fehler, die wahrend des 
Schreibvorgangs in der Chipkarte auftreten, werden an das Schreib-Lesegerat gemeldet Wird der Schreibvor- 
gang aus mechanischen, elektrischen oder elektronischen Grunden nicht beendet und das Schreib-Lesegerat 
30 und/oder die Chipkarte kann keine Fehlerbehebung einleiten, sind die Daten inkonsistent 

Insbesondere werden Chipkarten immer haufiger zusammen mit nicht motorgetriebenen Chipkartenlesern 
eingesetzt Speziell bei diesen Billiglesem, bei denen das Ein- und Ausfuhren der Chipkarte manuell geschieht, 
kann der Benutzer der Chipkarte den Vorgang durch vorzeitige Entnahme der Chipkarte unterbrechen. Auch 
auBere Einflusse wie Erschfltterungen oder StromausfaU kdnnen zu solchen Unterbredmngen der laufenden 
35 ^wendungfuhreiL Dies kann zur Folge haben, daB die unterbrochene Anwendung inkonsistente Datenbestan- 
de auf der Chipkarte und im Chipkartenleser zurucklaBt, die die Chipkarte fur die weitere Anwendung un- 
brauchbarmacht * 

Auf einer Chipkarte seien beispielsweise 2 Funktionen untergebracht: eine elektronische Borse und eine 
Berechtigung zum Besuch eines FitneBstudios. Jeden Monat wird die Berechtigung durch das Ausbuchen der 
Gebuhr aus der Borse verlangert. Dieser Vorgang kann aus den folgenden Schritten bestehen: 

— Abbuchen des Betrages aus der Borse 

— Bestatigung der Abbuchung durch die Chipkarte und 

— Verlangerung der Berechtigung. 

Wird die Chipkarte nun zwischen den ersten beiden Schritten entnommen, erhalt man einen inkonsistenten 
Zustand: Der Betrag ist abgebucht, aber die Berechtigung nicht verlangert Da der Chipkartenleser auch die 
Bestatigung der Abbuchung nicht erhalten hat, zeigen seine Daten an, daB er weder abgebucht noch die 
Beiwhtigung verlangert hat. Damit ist die Chipkarte unbrauchbar und kann auch nicht mehr in einen konsisten- 
ten Zustand gebracht werden. 

w Di £ 1!? der Technik bekannten Verfahren zum Schreiben von Daten auf Chipkarten liefern keine 

Moghchkeit die Integritat der Daten zu gewahrleisten, insbesondere wenn der Schreibvorgang wahrend des 
Schreibens abgebrochen wird. 

Zusammenf assung der Erfindung 

Es ist Auf gabe der Erfindung ein Verfahren zur Erhdhung der Datenintegritat auf Chipkarte zu erreichen. Die 
Aufgabe der Erfindung wird durch die unabhangigen Anspruche geldst 

ErfindungsgemaB wird eine Sequenz von Schreibvorgangen auf einer Chipkarte als Einheit definiert, fur die 
die Integritat der zu schreibenden Daten sichergesteUt wird. Bei dem Schreibvorgang kann es sich urn das 
Schreiben von Daten in eine oder mehrere Dateien handeln. 

Eine Integritatseinheit, Ah. eine Einheit von Daten, fur die die Integritat sichergesteUt werden soli, wird 
vorzugsweise dm-ch erne Kennung identifiziert. Der Start einer Integritatseinheit wird vorzugsweise mit einem 
defimerten Startkommando an die Chipkarte implementiert, oder alternativ dazu durch eine Kennung in jedem 
Schreibkommando festgelegt Das Ende der Integritatseinheit wird vorzugsweise mit einer Sequenz von Kom- 
mandos angezeigt, ^e bei einem erfolgreich durchgefuhrten Obertragungsvorgang zu einem festen Schreiben 
derDaten m einem Speicher der Chipkarte fuhren oder bei einem nicht erfolgreichen Obertragungsvorgang den 
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Vorzugsweise werden die Daten einer Integritatseinheit in einen Schattenspcicher geschrieben Schattenspei- 
cher koiLn beispielsweise implementiert werden durch komplette Kopien der Dateien, m 4e die Daten 
geschrieben werden sollen oder durch Kopieren des Datenteils einer Datei, der beschneben werden ^ wobei 
der Dateikopf einen Verweis auf die Originaldaten erhalt Weiterhin kdnnen Schattenspeicher durch Kopien von 
Dateisatzen, in die die Daten gespeichert werden sollen, in satzorientierten Dateien, wobet der Dateikopf 
Verweise auf auf einanderfolgende Satze enthalt, implementiert werden. , . _ 

Vorzuesweise wird das Ende einer Integritatseinheit mit einer Sequenz von zwei Kommandos wie z. B- 
"Schreiben vorbereiten" und "Schreiben", bzw. durch ein Kommando, das ein Abbrechen des Schreibvorgangs 
der Integritatseinheit bewirkt, wie z.B. 'Schreiben abbrechen" angezeigt Mit dem Kommando ^ctreAen 
vorbereiten" werden die Verweise auf die neuen Daten so vorbereitet, daB mit einem Minimum an benotigten 
Schreibaufwand die Gultigkeit der neuen Daten festgelegt werden kann. Dies kann z. B. durch ein Anlegen eines 
B;Tenverzeichnisses erfolgen, welches die Verweise auf die jeweils gultigen Daten enthalt Mit, ^ Kon^ando 
-Schreiben" wird die Gultigkeit der neuen Daten festgelegt, erne Ruckmeldung an das Schreib-Lesegerat 
gegeben und die neuen Daten als gultige Daten festlegt Der Speicher fur die bisher gultigen Daten kann 
f reigegeben und beispielsweise als ein weiterer Schattenspeicher verwendet werden. Es ist zu verstehen, daB die 
Zuordnung eines Speicherbereiches zum Schattenspeicher nicht permanent sem mufi, sondern daB die Zuora- 

^tl^^^^Z^r^T^l^^ daB Fehler die Integritat der Daten 

^JESJSSSS^ das ein Abbrechen des Schreibvorgangs der mtegrit^einheit bewkt, 
wie z. B. "Schreiben abbrechen", wird der Schattenspeicher zu einer erneuten Benutzung freigeben. Die ongina- 
len Daten bleiben nach wie vor zur Verfugung. , O , o . r j„ , 

Ein weiteres Kommando, wie beispielsweise "Integritatsstatus", dient vorzugsweise dazu, den Status der 
Integritatseinheit zu erfragen, dh. beispielsweise ob und welche IntegritSteeinheit noch ™cht oeendet ist 
Auf^und dieser Information kann die Integritatseinheit, z.B. nach emem Fehler in dem Schreib-Lesegerat 
abgebrochen oder in einem anderen Schreib-Lesegerat geordnet beendet werden. 

Das erfindungsgemiBe Verfahren veningert die Wahrscheinlichkeit erheblicb, daB durch einen Fehler beim 
Schreiben von Daten auf die Chipkarte die Integritat der Daten gest5rt wird. Daten k ^nJxb^T± S Gremtn 
von Schreib-Lesegeraten wiederhergesteUt oder komplettiert werden. Das erfindungsgemaBe Verfahren j^nn 
als Basis dazu dienen, Datenbestande auBerhalb der Chipkarte konsistent mit den Daten auf der Chipkarte zu 

ha Abtategriatseinheiten konnen vorzugsweise sogenannte Transaktionen, wie sie aus dem Bereich von Daten- 
bankensystemen bekannt sind, definiert werden. 
Weitere, vorteilhafte Ausfuhrungen der Erfmdung flnden sich in den Unteranspruchen. 

Detaillierte Beschreibung der Erfindung 

Die Datenbestande der einzelnen Chipkartenfunktionen und die Daten des Lesegerates, bzw. des treibenden 
Rechners, bilden - abstrakt gesehen - eine verteUte Datenbank. Eine Methode urn verteike Datenbanken 
konsistent zu halten, sind Tranlaktionen. Als eine Integrationseinheit, d. h als eine Emheit von Daten, fur die die 
Integritat sichergestellt werden soil wird eine Transaktion festgelegt. Transaktionen sind insbesondere gekenn- 
zeichnet durch 4 Eigenschaften. Transaktionen sind: 

- unteBbar, Ah sie werden entweder vollstandig oder gar nicht ausgefuhrt, was durch ein "two phase 
commit" (Zwei-Phasen-Festschreiben) Verfahren erreicht werden kann; 

- konsistenzerhaltend, d. h. die Daten eines transaktionsgeschfitzten Datensaues smd m sich stimmig, was 
unterZuhilfenahme des "two phase commit" Verfahrens erreicht wu-d; ... D1 . ■ 

- isoliert, d. h. parallel ablauf ende Transaktionen beeinflussen sich gegenseitig mcht, was durch ein Blociae- 
ren der von einer AppHkation benotigten Daten fur andere Applikationen bewerkstelhgt werden kann; 

- dauerhaft, d. h. die Dauerhaftigkeit der Anderungen an einem Datenbestand ist bei der Chipkarte direkt 
gekoppelt mit der Dauerhaftigkeit der in einem beschreibbaren, nicht fluchtigen Speicher (z. B. einem 
EEPROM) der Chipkarte gespeicherten Daten, wodurch die Dauerhaftigkeit fur die Daten auf der Chipkar- 
te La. ausreichend ist 

Die Problematik der isoliert bzw. parallel ablaufenden Transaktionen kann auf der Chipkarte auch dadurch 
umgangen werden, daB immernur eine Transaktion gleichzeitig zugelassen wn-d. , ., 

Das erfindungsgemaBe "two phase commit" Verfahren fur Chipkartendaten garanUert, daB entweder alle 
Aktionen auf der Chipkarte innerhalb einer Transaktion oder keine ausgefuhrt werden. Um dieses two phase 
commit" Verfahren zu implementieren, wird definiert: 

- ein Anfang der Transaktion, entweder implizit durch 

- ein Anlegen einer Versorgungsspannung ("Power on") an die Chipkarte, 

- einen Schreibzugriff auf transaktionsgeschtttzte Daten, oder explizit 

- durch einen vorgegebenen Transaktionsbefehl wie beispielsweise: Transaktion beginnen oder 

"start transaction"; 

- eine Reihe von Transaktionssteuerungsbefehlen, wie z.B.: 

- "Schreiben vorbereiten" oder "prepare to commit" (Vorbereiten auf das Ende der Transaktion) 

- "Slchreiben" oder "commit" (Ende-der Transaktion) 
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— "Schreiben abbrechen" oder "unroll" (Abbruch der Transaktion). 

Die Chipkarte muB weiterhin in der Lage sein, Anderungen an einem Datenbestand seit dem Zeitpunkt des 
Beginns der Transaktion wieder ruckgangig zu machen. Dies kann dadurch erreicht werden, indem ein Datenbe- 
stand, der verandert werden soli, in einen Schattenspeicher dupliziert wird und die Anderungen nur an einer 
Halfte der Daten, also entweder der Kopie oder dem Original, ausgefuhrt werden. Vorzugsweise werden 
Anderungen nur an der im Schattenspeicher abgelegten Kopie durchgefuhrt Wurde die Transaktion erfolgreich 
durchgefuhrt, wird die veranderte Halfte der Daten zum giiltigen Teil erklart Wurde die Transaktion nicht 
erfolgreich durchgefuhrt, also z. B. abgebrochen, bleibt die unveranderte Halfte gultig. 

Zur permanenten Speicherung veranderbarer Daten werden in Chipkarten vorzugsweise EEPROM Speicher 
(Electrical Erasable Programmable Read Only Memory) ats beschreibbare, nicht fluchtige Speicher eingesetzt 
die sich insbesondere durch folgende Eigenschaften auszeichnen: 

— ein Loschen von Daten, d h. ein Zurucksetzen der einzelnen Speicherzellen des EEPROM in elnen 
tnaktiven Zustand, ist nur in groBeren Einheiten, sogenannten "Pages" (z. B. 32 Bytes) moglich (die GrdBe 
dieser Einheit wird meist durch den Herstelier vorgegeben); 

T ein Setz en von Daten ist bitweise moglich, d h. ein Aktivieren der einzelnen SpeicherzeHen ist unabhan- 
gig von den anderen Speicherzellen innerhalb der gewahlten "Page* durchfuhrbar; 

— die Anzahl der Losch-Schreibzyklen ist jedoch durch die Lebensdauer des EEPROM limitiert (GrdBen- 
20 ordnung 10**4 Losch-Schreibzyklen), ein uberproportional hauflges Schreiben auf eine Speicheradresse 

muB daher vermieden werden. 

In anderen Worten ist ein Ldschen nur kollektiv fur eine gesamte "Page* moglich, wahrend Daten innerhalb 
der "Page mdmduell gesetzt werden konnen. Ein Verandern von Daten erfolgt im allgemeinen durch ein 
25 Loschen der "Pages* auf denen sich die Daten zusammen mit anderen Datensatzen befinden und ein anschlieBen- 
des Schreiben der verSnderten Daten und der Datensatze die nicht verandert werden sollten. Wird dieser 
Vorgang z. R durch Stromausfall unterbrochen, sind aUe Datensatze auf der "Page* ungultig. Dies zeigt, daB 
Datensatze, die auf einer gemeinsamen "Page" liegen, sich gegenseitig beeinflussen konnen. 

Die Eigenschaft des EEPROM, daB ein Ldschen von Daten nur in groBeren Einheiten, den sogenannten 
30 "Pages* moglich ist, muB bei einem Duplizieren von Daten im EEPROM Speicher berficksichtigt werden. Es ist 
daraufzu achten, daB die beiden Halften (Original und Kopie im Schattenspeicher) des Datenbestandes nicht auf 
derselben T^ge* liegen, damit eine gegenseitige Beeinflussung ausgeschlossen werden kann. 

Bet groBeren Datenbestanden kdnnen die Daten in Transaktionseinheiten unterteilt werden. Dies hat den 
Vorteil, daB nur die Transaktionseinheiten kopiert werden mussen, die auch verandert werden. Ist gewahrleistet, 
35 daB^ von einem groBerem Datenbestand, der in Einheiten auf geteilt ist, pro Transaktion nur eine Einheit 
verandert wird, genugt es fur diese Einheit nur einen Schattenspeicher anzulegen. Es muB daher weniger 
Speicherplatz fur den Schattenspeicher zur Verfugung gestellt werden. 

Damit Kopie und Original auseinander gehalten werden konnen, stattet man sie vorzugsweise mit je einem 
Zahler aus. Beim Erstellen der Kopie wird der Zahler beispielsweise urn 1 erhoht Damit wird die Aktualitat der 
40 paten durch den Zahlerstand reprasentiert (hdherer Zahlerstand » neuere Daten). Die Verwendung der Zahler 
hat den Vorteil, daB keine Daten des Originals verandert werden mussen. 

Da es nur zwei Versionen des Datensatzes (Original und Kopie) fur die durchzufuhrende Transaktion gibt und 
die Zahler dieser Kopien sich nur urn 1 unterscheiden, kann ein Modulo-Zahler verwendet werden. Dies 
vermeidet auch das Problem eines Zahleruberlaufes. Bei Verwendung z. B. eines Modulo-4 Zahlers kann die 
45 altere Kopie wie folgt bestimmt werden: wenn der Zahlerstand der selektierten Version + 1, modulo 4 den 
Zahlerstand der anderen Kopie ergibt, handelt es sich urn die altere Version des Datensatzes. Anhand der unten 
auf gefuhrten TabeUen 2 und 3 laBt sich beispielsweise bestimmen, welche Daten zu einem bestimmten Zeitpunkt 
gultig sind K 

Zur Verwaltung der Zustande und Koordination der Transaktion wird vorzugsweise jeder Transaktionsein- 
50 heitemer der folgende Zustande zugeordnet: 

— *Data_Opened* ± h. diese Version der Transaktionseinheit wurde neu erstellt und ist fur Veranderuneen 
zuganglich; & 

— ^ata^Prepared", d. h. an dieser Version der Transaktionseinheit sind alle Anderungen beendet, und es 
55 durfen auch keine mehr vorgenommen werden; 

— *pata_Committed" dh. diese Version der Transaktionseinheit im Schattenspeicher wird zur neuen 
gultigen Version des Datensatzes erklart; 

— "Data Unrolled", d h. die Anderungen im Schattenspeicher werden fur ungultig erklart und der Schat- 
tenspeicher kann anderweitig verwendet werden. 

60 

Diese Zustande mussen durch Bitkombinationen im EEPROM Speicher reprasentiert werden. Bedingt durch 
das Loschen von "Pages" konnen unerwunschte Zwischenzustande entstehen, d h. Bitkombinationen, die weder 
£usgangs- noch den Endzustand beschreiben. Urn dies zu vermeiden, werden die Zwischenzustande im 
EEPROM vorzugsweise so reprasentiert, daB die Zustandsfolgen: 

65 

— DataOpened, DataPrepared, Data_Committed 

— Data Opened, Data Prepared, Data JJnroUed 

— DataOpened, DataUnroIled 
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mir ein Aktivieren von Datenelementen im EEPROM erfordera und somit kein Loschen erforderlich ist Dies 
kann z. B. durch die folgende Reprasentation der Zustande, wie in Tabelle 1 dargestellt, erfoigen, wobei eine 1 fur 
ein aktives Bit im EEPROM steht 

Tabelle 1 5 
Bcispiel einer Zustandstabelle einer Transaktion, wobei x "Zustand beliebig" bedeutet 



Zustand 


Reprasentation | 


f data_opened* 


'000' 


■ da ta_pr epared f 


•OOl' 


| ■ da ta_commi tted ■ 


f 011" 


| ■ data_unrolled 1 


■lxx' 



Beim Start einer neuen Transaktion muB von dera Zustand "data^unrolled" in den Zustand "data^pened* 25 
ubergegangen werden. Hier ist nun ein Loschen der Reprasentation des Zustands im Speicher (vgL Tabelle 1) 
notig. Dabei kdnnen durch Unterbrechen des Loschvorgangs die unerwunschten Zwischenzustande "01 V und 
"001* entstehen. Damit diese Zwischenzustande nicht zu einem ungewunschten Ergebnis fuhren, werden die 
gultigen Daten vor dem Loschvorgang in den Schattenspeicher kopiert Somit entsprechen beide Datensatze 
(Originaldaten und Daten im Schattenspeicher) der gultigen Version und bei einem Auftreten von Zwischenzu- 30 
standen kann eine beliebige der gultigen Versionen ausgewahlt werden. 

Zusatzlich kann noch ein giobaler Merker verwendet werden, wie z. B. Transaction_in_Process", der anzeigt, 
ob gerade eine Transaktion aktiv ist Der globale Merker erlaubt somit ein Erkennen von Zwischenzustanden. 
Zwischenzustande kdnnen nur auftreten, wenn der globale Merker *transaction_mjM-ocess* anzeigt, daB keine 
Transaktion aktiv ist Daher darf der globale Merker erst aktiv gesetzt werden, wenn die Kopie den Zustand 35 
"data_opened w hat 

Zahler und Zustandsanzeiger werden vorzugsweise auf von den Daten getrennten Tages 5 ' untergebracht 
damit das Schreiben von Daten die Zustande nicht beeinflussen kann. Dies gilt auch fur die Zahler und 
Zustandsanzeiger unterschiedlicher Versionen des Datensatzes. 

Aus Zustand und Zahlerstand beider Versionen des Datensatzes und dem globalen Merker Transaktion in 40 
Bearbeitung" oder ,, t^ansaction_inJ5rocess , ' kann zu jedem Zeitpunkt geklart werden, welche Daten beim Start 
einer neuen Transaktion gultig sind. Die folgenden Tabellen 2 und 3 zeigen die moglichen Zuordnungen. 
Dabei-bedeutet B alf, daB diese Version des Datensatzes den kleineren Zahlerstand hat 
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Tabelle2 

Gultigkeitstabelle fur den globalen Merker "transactionjn j>rocess" aktiv 
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10 


Oil 


000 


Giiltig sind hier die 'alten* 








Da ten. 










15 






WUJLUtS CWMwi/JUvuIlClt • J-/ CI UCJ. ti UO Luilvl 
















erreicht wurde f konnen die neuen 


20 






Da ten geloscht werden. 




Oil 


A A 1 

QUI 


uxe uuiui^KeiL uer uauen mun von 


25 






Qer Anwenaung geKiaru weraen/ aa 








axe vortier^snencie TransaKLion 








abgebrochen wurde « 


30 


011 


011 


Giiltig sind hier die 'neuen 1 








Da ten. Die vorhergehende 








Transaktion war erfolgreich, aber 


35 






die Transaktionsverarbeituncf wurde 








vor exner invaiiuierung aer 








alten uauen cLogeox>ocxieii« uie 


40 






clluen jLJciueii jtoinieii gexosdii* 








werden 


45 


Oil 


lxx 


Giiltig sind hier die 'alten* 








Da ten • 








Die vorhergehende Transaktion 


50 






wurde abgebrochen. Der Zustand 








■Data^Enrolled' zeigt an, daB die 








'neuen 1 Daten geloscht werden 
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konnen. 
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Tabelle3 

Guitigkeitstabelle fur den globalen Merker ''transaction^m jprocess" nicht aktiv 



•alte* 
Daten 


f neue' 
Daten 


giiltig 


Oil 


000 


Giiltig sind hier die 'alten 1 
Da-ten. 

Die vorhergehende Transaktion 
wurde abgebrochen. Da der Zustand 
•Data Prepared' noch nicht 
erreicht wurde, konnen die neuen 
Daten geloscht werden. 


Oil 


001 


Giiltig sind hier sowohl die 
•alten' als auch die 'neuen 1 
Daten. 

Der Zustand 001 kann aufierhalb 
einer laufenden Transaktion nur 
als Zwischenzustand auftreten, in 
dem sowohl Original als auch Kopie 
giiltig sind. 


Oil 


Oil 


Giiltig sind hier sowohl die 
•alten 1 als auch die 'neuen* 
Daten. 

Der Zustand 011 kann aufierhalb 
einer laufenden Transaktion nur 
als Zwischenzustand auftreten, in 
dem sowohl Original als auch Kopie 
giiltig sind. 


Oil 


lxx 


Giiltig sind hier die 'alten' 
Daten. 

Die vorhergehende Transaktion 
wurde abgebrochen. Der Zustand 
•Data_Enrolled' zeigt an, dafl die 
•neuen* Daten gelSscht werden 
konnen. 



Da die GDltigkeit der Daten in besonderen Fallen nur mitHilfe der APf^8^^£^S^ 
Transaktion vorzugsweise ein eindeutiger Name zugeordnet, danut die ApphkaUon l das *J"£5J. 
chenden Tracsaktionsablaufes identifizieren kann. Dieser Transaktionsname kann z. B. aus emer Chip Senen 
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nummer und elner lauf enden Transaktionsnummer besteheiL 

Fur eine Implementierung auf einer Chipkarte kann der Anfang einer Transaktion durch einen Transaktions- 
bef ehl, wiez. B. den Befehl *start_transaction" bestimmt werdeiL Wird der Anfang einer Transaktion erkannt und 
ist noch keine Transaktion einer anderen Applikation in Bearbeitung, werden die gultigen Daten ennittelt und in 
5 den Schattenspeicher kopiert Erst dann wird die Kopie in den Zustand "dataopened" gebracht Ist dies 
erfoigreich durchgefuhrt worden, kann der globale Merker "transactionfojprocess" gesetzt und der Applika- 
tion die lauf ende Transaktionsnummer mitgeteilt werden. Konnte die gultige Kopie nicht ennittelt werden, da 
die vorhergehende Transaktion Daten im Zustand *dataj>repared w zuruckgelassen hat wird dies der Applika- 
tion mitgeteilt, damit diese klaren kann, welche Daten gultig sincL 
io Ein geeignetes Chipkarten-Kommando zur Vorbereitung des Schreibvorgangs, z. B. "Schreiben vorbereiten" 
oder "Prepare to commit", bewirkt, daB aus dem Zustand "dataopened" in den Zustand "data prepared" 
ubergegangen wird In alien anderen Zustanden ist dieser Befehl nicht erlaubt Dies wird dies der Applikation 
mitgeteilt und es Mndet keine Zustandsanderung statt 

Ein weiteres geeignetes Chipkarten-Kommando zur Durchfuhrung des Schreibvorgangs, z. B. "Schreiben" 
15 oder "commit", bewirkt, daB aus dem Zustand "datajrepared" der Kopie in den Zustand "data committed" 
ubergegangen wird. In alien anderen Zustanden ist dieser Befehl ungultig und es findet keine Zustandsanderung 
statt 

SchlieBlich bewirkt ein anderes Chipkarten-Kommando zum Abbrechen des Schreibvorgangs, z. B. "Schrei- 
ben abbrechen" oder "unroll", daB aus dem Zustand "data opened" oder "dataj>repared" in den Zustand 
20 "datajinrolled" ubergegangen wird In alien anderen Zustanden ist das Kommando ungultig und es findet keine 
Zustandsanderung statt 



Tabelle 4 zeigt Beispieie fur den Transaktionsablauf einer vollstandigen Transaktion 



25 


Original 


Kopie im 


Schatten- 


speicher 




Zustand 


Zahler 


Daten 


Zustand 


Zahler 


Daten 


30 


Zustand vor Beginn der Transaktion 




Oil 




ABCDEF 


lxx 


0 




35 


Zustand nach dem Start der Transaktion 




011 


1 


ABCDEF 


000 


2 


ABCDEF 


40 


Zustand nach einem Schreibzugrif f 




Oil 


1 


ABCDEF 


000 


2 


XYZDEF 


45 


Zustand nach 'prepare to commit* 






Oil 


1 


ABCDEF 


001 


2 


XYZDEF 


50 


Zustand nach 'commit* 




011 


1 


ABCDEF 


011 


2 


XYZDEF 


55 


111 


1 


ABCDEF 


011 


2 


XYZDEF 



60 
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Tabelle 5 zeigt Beispiele fur den Transaktionsabiauf einer abgebrochenen Transaktion 



Original 


Kopie iia 


Schatten- 


speicher 


Zustand 


Zahler 


Daten 


Zustand 


Zahler 


Daten 


Zustand vor Beginn der Transaktion 


Oil 


1 


ABCDEF 


lxx 


0 




Zustand nach dent Start der Transaktion 


Oil 


1 


ABCDEF 


000 


2 


ABCDEF 


Zustand nach einem Schreibzugrif f 


Oil 


1 


ABCDEF 


000 


2 


XYZDEF 


Unterbrechung der Transaktion 








Transaktion wird neu 


gestartet 








Zustand vor Neubeginn der Transaktion 






Oil 


1 


ABCDEF 


000 


2 


XYZDEF 


Zustand nach dem Start der Transaktion 


Oil 


1 


ABCDEF 


000 


2 ; 


ABCDEF 


Oil 


1 


ABCDEF 


101 


2 


XYZDEF 


weiter rait 


normaler Transaktion 









Patentanspruche 

1. Verfahren zur Sichenmg der Integritat von Daten bei einer Kommunikation unter Beteiligung einer 
Datentragerkarte, dadurch gekennzeichnet, daB eine Sequenz von Schreibvorgangen, fur die die Integritat 
der zu schreibenden Daten sichergesteUt werden sol!, auf der Chipkarte als eine Integrationseinheit defi- 
niertwird 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daB die Integritatseinheit durch eine Kennung 
identifiziert wird. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daB der Start der Integritatseinheit mit 
einem definierten Startkommando angezeigt wird. 

4. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daB der Start der Integritatseinheit durch 
eine Startkennung fur ein jedes Schreibkommando zum Schreiben der Integritatseinheit f estgelegt wird 

5. Verfahren nach einem der vorstehenden Anspruche, dadurch gekennzeichnet, daB das Ende der Integri- 
tatseinheit mit einer Sequenz von Kommandos angezeigt wird, die bei einem erfolgreich durchgefuhrten 
Obertragungsvorgang zu einem festen Schreiben der Daten in einem Speicher der Chipkarte fuhren oder 
bei einem nicht erfolgreichen Obertragungsvorgang den Schreibvorgang abbrechen. 

6. Verfahren nach einem der vorstehenden Anspruche, dadurch gekennzeichnet, daB ein Schattenspeicher 
verwendet wird in den Daten der Integritatseinheit geschrieben werden konnen. 

7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, daB der Schattenspeicher durch komplette Kopien 
der Dateien, in die die Daten geschrieben werden solien oder durch Kopieren des Datenteils einer Datei, der 
beschrieben werden soli, wobei der Dateikopf einen Verweis auf die Originaldaten erhalt, implementiert 
wird 

8. Verfahren nach Anspruch 6, dadurch gekennzeichnet daB der Schattenspeicher durch Kopien von 
Dateisatzen, in die die Daten gespeichert werden solien, in satzorientierten Dateien, implementiert wild, 
wobei der Dateikopf Verweise auf auf einanderf olgende Satze enthalt 

9. Verfahren nach einem der vorstehenden Anspruche, dadurch gekennzeichnet, daB 

das Ende der Integritatseinheit im Falle einer erfolgreichen Obertragung mit einer Sequenz bestehend aus 
einem erste;i und einem zweiten Kommando angezeigt wird wobei das erste Komxnando die Verweise auf 

9 



.19600081 A1_l_> 



DE 196 00 081 Al 



neue gultige Daten so vorbereitet, daB mit einem Minimum an bendtigten Schreibaufwand die GQitigkeit 
der neuen Daten festgelegt werden kann, und das zweite Kommando die GQitigkeit der neuen Daten 
festlegt, eine Ruckmeldung an das Schreib-Lesegerat gibt und die neuen Daten als gultige Daten festlegt; 
und 

das Ende der Integritatseinheit im Falle einer nichterfolgreichen Obertragung durch ein Kommando, das ein 
Abbrechen des Schreibvorgangs der Integritatseinheit bewirkt, angezeigt wird. 

10. Verf ahren nach Anspruch 9, dadurch gekennzeichnet, daB das Festlegen der GQitigkeit der neuen Daten 
durch ein Aniegen eines Datenverzeichnisses erfolgt, welches Verweise auf die jeweils gultigen Daten 
enthalt 

1 1. Verfahren nach Anspruch 9 oder 10, dadurch gekennzeichnet; daB der Speicher nach Durchfuhrung der 
entsprechenden Komraandos fur die bisher gultigen Daten freigegeben wird und als ein weiterer Schatten- 
speicher verwendet werden kann. 

12. Verfahren nach einem der vorstehenden Anspruche 6— 1 1, dadurch gekennzeichnet, daB die Zuordnung 
des Speicherbereiches zum Schattenspeicher nach Bedarf, als ein dynamischer ProzeB, erfolgt 

13. Verfahren nach einem der vorstehenden Anspruche 6—11, dadurch gekennzeichnet, daB Anderungen 
nur an den in dem Schattenspeicher geschriebenen Daten ausgefuhrt werden. 

14. Verfahren nach einem der vorstehenden Anspruche, dadurch gekennzeichnet, daB ein Status-Komman- 
do durchgeftthrt wird, urn den Status der Integritatseinheit zu erfragen, d. h. beispielsweise ob und welche 
Integritatseinheit noch nicht beendet ist 

15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dafi aufgrund der aus dem Status-Kommando 
gewonnenen Information die Integritatseinheit bei einem Fehler abgebrochen wird. 

16. Verfahren nach Anspruch 15, dadurch gekennzeichnet, daB die Integritatseinheit nach einem Fehler in 
dem Schreib-Lesegerat, in dem Schreibvorgang erfolgen sollte, abgebrochen und in einem anderen Schreib- 
Lesegerat geordnet beendet wird. 

17. Verfahren entsprechend einem der vorstehenden Anspruche, dadurch gekennzeichnet, daB die Integri- 
tatseinheit eine Transaktion ist, die unteilbar, konsistenzerhaltend, isoliert und dauerhaft ist 

18. Verfahren entsprechend einem der vorstehenden Anspruche 6—17, dadurch gekennzeichnet, daB ein 
Datenbestand, der verandert werden soil, in den Schattenspeicher dupliziert wird und Anderungen nur an 
einer Halfte der Daten, also entweder der Kopie oder dem Original ausgefuhrt werden. 

19. Verfahren nach Anspruch 18, dadurch gekennzeichnet, daB die Anderungen nur an der in dem Schatten- 
speicher abgelegten Kopie durchgefuhrt werden. 

20. Verfahren nach Anspruch 18 oder 19, dadurch gekennzeichnet, daB, wenn die Sequenz von Schreibvor- 
gangen erf olgreich durchgefuhrt wurde, die veranderte Halfte der Daten zum gultigen Teil erklart wird, und 
wenn die Sequenz von Schreibvorgangen nicht erf olgreich durchgefuhrt wurde, die unveranderte Halfte 
gultigbleibt 

21. Verfahren nach einem der Anspruche 18 bis 20, dadurch gekennzeichnet, daB ein Modulo-Zahler zur 
Unterscheidung von Kopie und Original verwendet wird. 

22. Verfahren nach einem der Anspruche 18 bis 21, dadurch gekennzeichnet, daB eine Representation einer 
Zustandsfolge benutzt wird, die es eriaubt nur durch Aktivieren von Speicherzellen die Zustandsfolgen zu 
durchlaufen. 

23. Verwendung des Verfahrens entsprechend einem der vorstehenden Anspruche, um Datenbestande 
auBerhalb einer Chipkarte konsistent mit den Daten auf der Chipkarte zu halten. 

24. System mit mindestens einer Datentragerkarte, (Me geeignet ist Daten zu speichern, dadurch gekenn- 
zeichnet, daB bei einer Kommunikation unter Beteiligung der Datentragerkarte zur Sicherung der Integri- 
tat von Daten eine Sequenz von Schreibvorgangen, fur die die Integritat der zu schreibenden Daten 
sichergestellt werden soil, auf der Chipkarte als eine Integradonseinheit definiert wird. 
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